Des vulnérabilités dans le plug-in « All in One SEO Pack » de WordPress
Plusieurs vulnérabilités sérieuses ont été découvertes dans le très connu et très utilisé plug-in "All in One SEO Pack" dédié à WordPress, cela touche des millions de sites.
Si vous utilisez WordPress avec ce plug-in, ne tardez plus, effectuez la dernière mise à jour de All in One SEO Pack 2.1.6 qui corrige ces vulnérabilités. Sans ça, vous exposez votre site à l'attaque de pirates !
Pour être plus précis, trois vulnérabilités sont corrigées. Deux vulnérabilités concernent une élévation de privilège, alors qu'une autre concerne une faille XSS. Les chercheurs en sécurité de chez Sucuri sont à l'origine de ces trouvailles.
Dans le monde, plus de 73 millions de site internet utilisent WordPress, dont plus de 15 millions qui utilisent ce plug-in pour l'optimisation au sein des moteurs de recherche (SEO - Search Engine Optimization).
D'après Sucuri, l'élévation de privilèges permet à un attaquant d'ajouter et de modifier les informations des balises méta d'un site WordPress. Cela peut influencer très négativement le positionnement dans les moteurs de recherche.
"Dans le premier cas, un utilisateur connecté, qui ne possède pas d'autorisation spécifique sur le site WordPress (comme le rôle auteur), pourrait ajouter ou modifier certains paramètres utilisés par le plug-in. Cela inclus différentes balisent méta : les titres, la description et les mots clés." Précise Sucuri.
Par ailleurs, la vulnérabilité XSS peut être exploitée par les hackers afin d'exécuter du code JavaScript malicieux dans l'interface d'administration. D'après Sucuri, "cela signifie qu'un attaquant pourrait potentiellement injecter du code JavaScript et faire des choses comme changer le mot de passe du compte Administrateur afin de laisser une backdoor dans les fichiers de votre site, cela permettra de revenir plus tard sur le site".
Comme je vous le disais en début d'article, vous devez mettre à jour ce plug-in immédiatement si vous l'utilisez !
